Apache Web服務器訪問控制機制全解析(1)
http://netsecurity.51cto.com 2011-02-22 15:51 李洋 51CTO.com 我要評論(0)
【51CTO.com 獨家特稿】Linux下的Aapche服務器提供了強大的訪問控制功能,用戶可以選擇採用配置命令或者.htaccess文件的方式對其進行設置,本文將爲大家介紹這兩種方法。
一、使用訪問控制常用配置指令進行訪問控制
1.配置指令
Apache實現訪問控制的配置指令包括如下三種:
(1)order指令:用於指定執行允許訪問控制規則或者拒絕訪問控制規則的順序。order只能設置爲Order allow,deny或Order deny,allow,分別用來表明用戶先設置允許的訪問地址還是先設置禁止訪問的地址。Order選項用於定義缺省的訪問權限與Allow和Deny語句的處理順序。Allow和Deny語句可以針對客戶機的域名或IP地址進行設置,以決定哪些客戶機能夠訪問服務器。Order語句設置的兩種值的具體含義如下:
◆allow, deny:缺省禁止所有客戶機的訪問,且Allow語句在Deny語句之前被匹配。如果某條件既匹配Deny語句又匹配Allow語句,則Deny語句會起作用(因爲Deny語句覆蓋了Allow語句)。
◆deny, allow:缺省允許所有客戶機的訪問,且Deny語句在Allow語句之前被匹配。如果某條件既匹配Deny語句又匹配Allow語句,則Allow語句會起作用(因爲Allow語句覆蓋了Deny語句)。
(2)allow指令:指明允許訪問的地址或地址序列。如allow from all指令表明允許所有IP來的訪問請求。
(3)deny指令:指明禁止訪問的地址或地址序列。如deny from all指令表明禁止所有IP來的訪問請求。
2.應用實例
下面舉幾個簡單的例子對上述order、allow和deny命令的使用進行示範。
(1)在下面的例子中,admin.org域中所有主機都允許訪問網站,而其他非該域中的任何主機訪問都被拒絕,因爲Deny在前,Allow在後,Allow語句覆蓋了Deny語句:
- Order Deny,Allow
- Deny from all
- Allow from admin.org
(2)下面例子中,admin.org域中所有主機,除了db.admin.org子域包含的主機被拒絕訪問以外,都允許訪問。而所有不在admin.org域中的主機都不允許訪問,因爲缺省狀態是拒絕對服務器的訪問(Allow在前,Deny在後,Deny語句覆蓋了Allow語句):
- Order Allow,Deny
- Allow from admin.org
- Deny from db.admin.org
